id: Гость   вход   регистрация
текущее время 12:57 29/03/2024
создать
просмотр
ссылки

шифрование системного раздела в linux


установлен opensuse 11.2
необходимо зашифровать весь диск, в том числе swap, по сложному алгоритму, а именно:
aes , twofish, serpent (либо их сочетание, например, aes-twofish).
в windows это позволяет сделать diskcryptor, но, к сожалению, нет версии для linux.


truecrypt использовать не хочу, т.к. он не позволяеот шифровать системный раздел.


слышал про dm-crypt, но абсолютно не понимаю как его использовать.
необходимо шифрование всего диска, т.к. сохраняется определенная информация о работе, например, об rdp-соединениях.


вопрос: подскажите, учитывая , что автор не является продвинутым пользователем линукс, как зашифровать весь диск в линуксе?
как использовать dm-crypt? Либо киньте ссылочку, я сам не нашел!


спасибо.


 
На страницу: 1, 2, 3 След.
Комментарии
— SATtva (04/04/2011 19:44)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
чем эти опции различаются?
deprecated action name

Deprecated означает, что опция устарела и будет выведена из обращения в ближайших версиях программы. В данном случае явно указано, что её действие идентично новой опции luksKillSlot.
— dolboyob (20/02/2012 21:34)   профиль/связь   <#>
комментариев: 19   документов: 0   редакций: 0
unknown если можно еще небольшую подсказку
моя ситуация отличается от рассмотренной в этом треде но возможно Вы сталкивались ...

у меня в компе два физических hdd
на одном стоит маздай на втором debian с полным дисковым шифрованием
второй диск куплен специально [во избежание всяких там двойных загрузок и костылей] и загрузку нужного в данный момент диска я выбираю принудительно из биоса

'есть мнение' © добавить на второй диск debian без шифрования и организовать на нем ретранслятор который можно будет запускать когда машина реально простаивает.
в этой связи возникает два вопроса [все-таки снос системы и чтобы не ошибиться]

в каком порядке надо устанавливать debian?
я планирую сначала ставить зашифрованную а потом незашифрованную

вопрос – определит ли инстоллер присутствие уже установленной зашифрованной системы?
я полагаю что определит по наличию незашифрованного /boot раздела но немного сумлеваюсь :) в возможных последствиях

вопрос2 – могу ли я использовать единственный /boot раздел для загрузки обеих deb-систем?
и если да то не грозит ли это возможной потерей данных?

также вызывает сомнение корректность работы после обновления ядра [одна система ядро обновит а будет ли вторая знать об этом]

ну и возможно я еще что-то важное упускаю по незнанию

поэтому если не трудно ...
— unknown (21/02/2012 10:47)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
добавить на второй диск debian без шифрования и организовать на нем ретранслятор который можно будет запускать когда машина реально простаивает.

Только для этого? Может обойтись системой на флэшке?
В любом. Вот в каком проще или легче, сказать затрудняюсь, но выкрутиться можно при любой ситуации.
Он определит наличие других разделов, ядер и рамдисков на них и по идее всё это пропишет в grub.cfg. А если что-то пойдёт не так — сами пропишете, деваться-то некуда будет.
я обычно так же рассуждаю, но тонкостей работы инсталлятора точно не помню и не полагаюсь на него особо.
Да, это возможно.
Скорее проблемами с загрузкой. Грабли могут быть с перетиранием рамдисков. Но всегда можно загрузиться с CD/USB или прямо из GRUB всё восстановить ручками — так что это не потеря данных.
рамдиски должны быть разные (тем более один из них для шифрованной системы). Значит и ядра с соответствующими именами должны быть прописаны разные. Или использовать всё-таки разные boot-разделы.
— dolboyob (26/02/2012 22:31)   профиль/связь   <#>
комментариев: 19   документов: 0   редакций: 0
[решено] практика сама ответила
1) сначала лучше ставить незашифрованную систему а потом зашифрованную
2) инстоллер дебиана [про другие не знаю] не определяет присутствие зашифрованной системы только по наличию ее boot-раздела
3) не стоит использовать единственный boot-раздел для загрузки обеих deb-систем
4) а лучше всего и в этом случае разнести системы по разным физическим hdd
— Гость (29/02/2012 13:44)   <#>
Кстати Tails основана на Debian, по крайней мере возможность шифровать обычные разделы там встроена: https://tails.boum.org/doc/enc.....olumes/index.en.html

Есть ли там опция шифровки системного раздела не в курсе.
— Гость (04/03/2012 05:15)   <#>
Вопрос о «шифровке» системного раздела в контексте Tails не имеет смысла: системный раздел существует и статично (без шифрования) записан на сам LiveCD (или, может быть, в оперативную память впоследствии). Шифрование системного раздела потому тут приравнивалось бы к выпуску довольно хитрого форка Tails, где на загрузку ОС нужно вводить пароль. Чтобы у всех пароли были разные, каждый сам должен собирать такой форк по инструкциям. Что это собственно даст — тоже не ясно, т.к. по оставшимся незашифрованным частям LiveCD будет видно, что это именно Tails (скрыть этот факт не получится).
— Гость (04/03/2012 10:35)   <#>

debian с полным дисковым шифрованием
— unknown (04/03/2012 19:17)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

с так или иначе незашифрованным бут-разделом или вынесенным на отдельный носитель.

А чтобы шифрованые лайф-имиджи были разными, лайф-образ после первого запуска мог бы создавать свою копию (в памяти, если место есть), перешифрованную на пароль пользователя. Эту копию можно было бы записать на новый диск, раздел или флэшку.
— андреё9898 (15/08/2012 15:55)   <#>
http://ru.d-ws.biz/articles/in.....at-crypto-disk.shtml или по сценарию http://ru.opensuse.org/Шифрование_корневого_раздела во всяком случае они объезжаны и проверены на работоспособность.
— Гость (15/06/2013 01:03)   <#>
можно ли в Линуксе монтировать разделы, зашифрованные diskcryptor? если ДА, то какую программу нужно использовать?
— Гость (15/06/2013 03:11)   <#>
можно ли в Линуксе монтировать разделы, зашифрованные diskcryptor? если ДА, то какую программу нужно использовать?

В старых версиях DC было можно, поскольку сохранялась совместимость с TrueCrypt. В новых версиях от совместимости ntldr отказался, поэтому ответ «нет такой программы».
— Гость (15/06/2013 06:47)   <#>
Но поскольку исходники открыты, такая программа вполне может появиться.
— Гость (15/06/2013 12:10)   <#>
Так .. грустно получается. Может кто даст совет, как зашифровать НЕсистемный раздел, чтобы потом можно было монтировать и в Винде и в Линуксе?
— Гость (15/06/2013 13:03)   <#>
Взгляните на TrueCrypt или FreeOTFE
— Гость (15/06/2013 13:44)   <#>
Вот я индеец ((
Здесь инструкция кому надо
Сбил меня "Шаг 4". Исходя из того что там написано "Том", подумал что речь идет о контейнере как обычно и сабж банально не умеет работать с несистемными разделами. В Линукс ТС ставится.

А если Diskcryptor установить через Wine? Насколько криво это будет? Кто имел такой опыт?
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3